原標題：ISC 2020 大數據產業安全創新在線研討會丨左曉棟：重要數據識別研究進展

智能化時代，飛速發展的新技術手段使人類生活的空間變成由無數個數據節點聯結的數字世界。隨着時代的推移與進化，數據呈現出裂變式的發展趨勢，越來越多的數據資源共存在網絡世界中。

面對複雜龐大的數據，我們又該如何去定義、如何去分類、如何去更好的挖掘數據深層的價值呢？

1

明確重要數據的基本概念已成爲當務之急

智能時代與數據時代，數據安全泄露事件頻有發生，國家已經開始高度重視數據安全的保護，陸續出臺相關的政策法規，明確對數據安全的相關保護規範，但針對“重要數據”這一概念始終沒有明確清晰的定義。

《網絡安全法》第37條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。在法律層面提出“重要數據”，建立了個人信息和重要數據的出境安全評估制度。

《網絡安全審查辦法》將重要數據面臨的風險作爲一個重要考慮要素，其中規定，網絡安全審查重點評估採購網絡產品和服務可能帶來的國家安全風險，主要考慮重要數據被竊取、泄露、毀損的風險等因素。此外，《數據安全法》（草案）將重要數據作爲核心概念，要求建立數據分級分類保護制度。《數據安全管理辦法（徵求意見稿）》也對“重要數據”提出了相關管理要求。

左曉棟指出，雖然上述規定都涉及到了重要數據的內容，但並沒有明確對“重要數據”做出定義。“在一定程度上損害了法律的權威性，也影響了網絡安全審查、數據出境安全評估等制度的進一步實施。因此，這也在客觀上要求我們明確‘重要數據’的基本概念已成爲當務之急”左曉棟說道。

同時，左曉棟還表示，當研究一項新的制度指南時，一定要綜合考慮到我國現有的行業數據管理要求，這項新的研究一定要與這些規定相銜接。這也是研究重要數據識別課題研究的另一大重要背景。

2

他山之石 可以攻玉

“重要數據”不是一個國際通用詞彙，多數國家沒有將其作爲一個大類提出統一要求，而是分散到各個具體行業、特定場合進行管理。但這絕不意味着“重要數據‘是中國特有的概念。

左曉棟指出，國外對特定非個人數據的分類以美國商務部下屬的國家保準技術研究院提出的聯邦政府數據的分類標準——NIST 800-60爲例，從保密性、完整性和可用性三個角度提出了三個分類級別。

“特別注意的是它把所有的聯邦數據進行了明確的分類，比如說有管理和支撐類的信息，其中包括42類服務交付類和35類政府資源管理類等，意味着整個聯邦政府所有的數據信息都可以在NIST 800-60裏找到對應的類別。”左曉棟說道。

除此之外，美國還提出了一個CUI的概念，即受控非密信息，CUI分爲17類、124子類信息。2010年11月4日，奧巴馬總統簽署第13556號行政令《受控非密信息》，對CUI實施登記備案及標識管理制度，確立了管理受控非密信息的政府計劃。

此外，美國認爲對在非聯邦系統和組織中CUI信息的保護至關重要，將會直接影響聯邦政府成功執行任務和業務運營的能力。爲此，NIST還制定了SP 800-171系列標準。

左曉棟表示，我們有理由相信這些分類方法與我國的重要信息識別具有很強的類似性，因此，在研究重要數據識別時，我們需要對這類分類方法進行關注和借鑑。

3

由於重要數據識別是一項比較複雜的工作，爲此，左曉棟表示，在進行“重要數據識別指南”的過程中明確了三個原則。

首先，聚焦國家安全，避免範圍擴大。重要數據應該是從國家安全、公共利益等角度來衡量，其範圍應當儘可能小，不包括企業生產經營和內部管理信息、個人信息和國家祕密信息等。對於行業主管部門有政策和標準規範的，重要數據的識別和管理應從其規定。

其次，遵循國外慣例，反映中國特色。立足開放環境維護網絡安全，着眼全球化發展需要，促進數據安全有序流動，充分借鑑國外已有做法。同時，要適應國情，反映中國特色，比如針對在國內蓬勃發展的移動互聯網應用、日益豐富的互聯網業態中，大量重要數據廣泛分佈於商業領域。

再次，定性定量結合，突出可操作性。以定性與定量相結合的方式識別重要數據，多數情況下，重要數據的識別方法以定性描述爲主。

在談及重要數據的基礎問題時，左曉棟指出，我們需要考慮六個基礎問題。

第一個是要考慮管理重要數據的目的是什麼？重要數據面臨什麼威脅？這個涉及到我們需要把哪一類數據列爲重要數據，國家究竟需要保護重要數據的什麼屬性？爲什麼進行管理和保護？這決定了如何識別重要數據。

第二個是要考慮重要數據與國家祕密信息的區別是什麼？重要數據在敏感性上，要弱於國家祕密信息，比國家祕密信息更要考慮數據匯聚、整合、分析後的安全風險。除了保密性外，重要數據對完整性、可用性也有較高要求，此外，保護力度差異較大。國家祕密的防護重點是嚴格限制信息的知悉範圍，重要數據保護則要防止數據泄露、防範數據篡改，還要維護數據真實性，保護數據安全。

第三個是要考慮如何應對數據匯聚、整合、分析後的安全風險？匯聚風險意味着要把握好量變到質變的臨界點，對於關聯分析風險，可以對可能的關聯項進行預先定義，同時還要避免以數據匯聚、整合、分析爲由對“重要數據”的概念泛化，更多地要從技術上解決這一問題，如，實現數據的“可用不可見”。

第四個是要考慮重要數據應由誰認定？應當將重要數據識別指南的讀者首先定位於網絡運營者與地方網信部門，因此應儘可能減少專業知識的理解難度。在工作機制上，應建立網信部門與行業主管監管部門之間的工作協同。

第五個要考慮重要數據如何分佈？我們需要看到重要數據可能分佈在多個領域。

第六個要考慮一旦被認定爲重要數據，就永遠重要嗎？國家祕密有保密期限，那麼重要數據的時效是多長？這些問題都需要我們進行仔細考慮。

最後，左曉棟分享了一套重要數據基本分類的方法。他表示，不同行業的數據有不同的重要性，但行業分類不是決定數據重要性的內在屬性。從數據的作用、受破壞後可能帶來的影響等角度，他建議將重要數據分爲八類，分別是國民經濟運行類、安保類、自然資源與環境類、健康類、敏感技術類、用戶類（或應用服務類）、政府工作祕密類和其他類。

在做這項重要工作時提出了一個重要數據的分類表示，即一級目錄、二級目錄、三級目錄，從一個形式化的方法中對數據進行英文字母的標識，進而對其進行描述，如對國家安全公共利益的影響、面臨的主要安全威脅、涉及的行業主管部門的主要分佈、項目的管理政策、主要特徵、時效以及其他重要備註的內容等。

據悉，在第八屆互聯網安全大會（ISC 2020）大數據產業安全創新在線研討會上，除了對重要數據識別、數據安全、網絡安全態勢感知等內容進行分享，還將匯聚各行業的專家、企業代表們共話大數據產業安全。

第八屆互聯網安全大會（ISC 2020）——永不閉幕，誠邀您關注大數據安全，關注網絡安全，共塑健康安全的網絡空間環境。

- END -

相關文章